CVE-2025-1331

چکیده

آسیب‌پذیری در محصولاتIBM CICS TX Standard نسخه 11.1 وCICS TX Advanced نسخه 10.1 و 11.1 روی پلتفرم لینوکس، ناشی از استفاده ناامن تابع gets است که به کاربران لوکال با دسترسی محدود اجازه می‌دهد کد دلخواه (ACE) روی سیستم اجرا کرده و کنترل کامل سرور را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-1331 در محصولات IBM CICS TX (Customer Information Control System Transaction eXtended)، ناشی از استفاده ناامن از تابع gets است و مطابق با CWE-242 طبقه‌بندی می‌شود.

این ضعف در مسیر پردازش و مسیریابی درخواست‌های تراکنش CICS TX رخ می‌دهد؛ کاربر لوکال احراز هویت شده می‌تواند بدون نیاز به تعامل اضافی، ورودی مخرب را به برنامه‌ای ارسال کند که از gets استفاده کرده و با فعال‌سازی سرریز بافر، اجرای کد دلخواه را روی سیستم امکان پذیر سازد.

بهره‌برداری از این ضعف قابل خودکارسازی است؛ مهاجم لوکال می‌تواند با استفاده از ابزارهایی مانند اسکریپت‌های تزریق تراکنش CICS (CICS transaction injection scripts) یا ابزارهای فازینگ API ورودی شامل شل کد را ارسال کند تا سرریز رخ دهد و کد دلخواه در فضای CICS region (معمولاً با سطح دسترسی SYSTEM) اجرا شود.

پیامدهای این آسیب‌پذیری شامل نقض شدید محرمانگی با دسترسی به داده‌های بانکی، یکپارچگی با تغییر تراکنش‌ها یا بکدور و در دسترس‌پذیری با کرش CICS region است. این ضعف نسخه‌های مشخصی از IBM CICS TX را تحت تأثیر قرار می‌دهد و می‌تواند در پلتفرم لینوکس با اجرای برنامه‌های لوکال مشکل‌ساز شود.

شرکت IBM پچ‌ها و اصلاحات امنیتی مربوطه را از طریق Fix Central منتشر کرده است و توصیه می‌کند تمامی سیستم‌های آسیب‌پذیر به نسخه‌های پچ شده به‌روزرسانی شوند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که IBM را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در IBM CICS TX امکان اجرای کد دلخواه لوکال از طریق تابع gets را فراهم می‌کند. اقدامات زیر برای کاهش ریسک و جلوگیری از آسیب پذیری ضروری است:

• نصب فوری پچ: تمامی سیستم‌های آسیب‌پذیر را فوراً با iFix مناسب پچ کنید. بسته‌ها را تنها از IBM Fix Central دانلود و ابتدا در محیط staging تست کنید.

CICS TX Advanced 10.1.0.0 → iFix38

CICS TX Advanced 11.1.0.0 → iFix30

CICS TX Standard 11.1.0.0 → iFix31

• کاهش دسترسی لوکال: دسترسی اجرای باینری‌ها و حساب‌های لوکال را به حداقل تنظیم کنید (least‑privilege) تا امکان اجرای کد از سمت کاربران لوکال کاهش یابد.
• نظارت و ثبت لاگ: لاگ‌های CICS و سیستم را جمع‌آوری کرده و در SIEM بررسی کنید؛ به‌دنبال الگوهای تزریق ورودی، کرش‌ها و عملکردهای اجرای شل‌کد باشید.
• اسکن و تست پس از پچ: پس از اعمال iFix، اسکن آسیب‌پذیری (Nessus/Qualys) و تست نفوذ لوکال متمرکز بر کدگذاری یا تزریق انجام دهید.
• فرآیند بازیابی: پیش از اعمال iFix، نسخه پشتیبان تهیه کرده و برنامه بازیابی داشته باشید. پس از نصب، صحت پچ را با بررسی نسخه و جزئیات بسته تایید نمایید.
• آموزش و توسعه امن: توسعه‌دهندگان را نسبت به ریسک توابع ناامن (مثل gets) آگاه کنید و سیاست‌های اعتبارسنجی ورودی و استفاده از توابع ایمن را اعمال نمایید.

اجرای این اقدامات، همراه با محدود سازی دسترسی، نظارت فعال و تست پس از به روزرسانی، ریسک اجرای کد لوکال را به‌طور قابل‌توجهی کاهش داده و امنیت محیط‌های مبتنی بر CICS را بهبود می بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
حمله اولیه معمولاً از طریق دسترسی لوکالِ یک کاربر احرازهویت‌شده صورت می‌گیرد — مهاجم با وجود امکان ارسال ورودی به تراکنش‌های CICS یا بارگذاری داده در کانال‌های محلی، ورودی‌های ساخت‌یافته را به ماژولی که از gets استفاده می‌کند تزریق می‌کند و بدین‌سان نقطه ورود را ایجاد می‌کند

Execution (TA0002)
در این آسیب‌پذیری، فراخوانی ناامن gets منجر به سرریز بافر در فضای پردازشی CICS می‌شود و مهاجم قادر است اجرای کد دلخواه را به‌صورت محلی در context پردازش تراکنش آغاز کند

Credential Access (TA0006)
اجرای کد در فضای CICS می‌تواند به استخراج اعتبارنامه‌های محلی، کش‌ها یا توکن‌های ذخیره‌شده منجر شود — مهاجم پس از اجرای کد می‌تواند فایل‌های پیکربندی و store شده را بخواند

Discovery (TA0007)
پس از اجرای موفق، مهاجم می‌تواند اطلاعات محیط CICS را جمع‌آوری کند (لیست تراکنش‌ها، مسیرهای اجرایی، نسخه‌ها و کانفیگ‌ها) تا مسیرهای بعدی سوءاستفاده را پیدا کند

Privilege Escalation (TA0004)
اگر کد در یک پردازش با امتیازات بالا اجرا شود، مهاجم می‌تواند به سطح SYSTEM/privileged دست یابد.

Collection (TA0009)
حملات موفق معمولاً به جمع‌آوری داده‌های حساس (مانند ترانزاکشن‌ها یا لاگ‌ها) منجر می‌شود

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده ممکن است از طریق کانال‌های خروجی میزبان یا backchannel های شبکه‌ای خارج شوند؛

Defense Evasion (TA0005)
مهاجم می‌تواند با پاک‌کردن لاگ‌ها، تغییر timestamps یا استفاده از پروسه‌های قانونی برای اجرای payload سعی در دورزدن تشخیص داشته باشد

Lateral Movement (TA0008)
در صورت موفقیت در اجرای کد و دسترسی به credential ها یا توکن‌ها، مهاجم می‌تواند از طریق ابزارهای مدیریت و کانال‌های تراکنشی به میزبان‌های دیگر حرکت کند

Impact (TA0040)
پیامد نهایی شامل اجرای کد دلخواه در فضای CICS با احتمال کنترل کامل سرور، دسترسی و افشای داده‌های حساس تراکنشی، تغییر در منطق تراکنش‌ها و اختلال سرویس است

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1331
2. https://www.cvedetails.com/cve/CVE-2025-1331/
3. https://www.ibm.com/support/pages/node/7232923
4. https://www.ibm.com/support/pages/node/7232924
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1331
6. https://vuldb.com/?id.308116
7. https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/Other+software/CICS+TX+on+Cloud&fixids=ibm-cics-tx-advanced-image-11.1.0.0-ifix30&source=SAR&function=fixId&parent=ibm/Other
8. https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/Other+software/CICS+TX+on+Cloud&fixids=ibm-cics-tx-advanced-docker-image-10.1.0.0-ifix38&source=SAR&function=fixId&parent=ibm/Other
9. https://www.ibm.com/support/fixcentral/swg/selectFixes?product=ibm/Other+software/CICS+TX+Standard&fixids=ibm-cics-tx-standard-image-11.1.0.0-ifix31&source=SAR&function=fixId&parent=ibm/Other
10. https://nvd.nist.gov/vuln/detail/CVE-2025-1331
11. https://cwe.mitre.org/data/definitions/242.html